Die portugiesische Datenschutzbehörde verhängt die erste empfindliche Geldbuße wegen der Verletzung von Patientendaten in einem Krankenhaus.
Bislang wurde die Möglichkeit der Verhängung von hohen Geldbußen nach der DSGVO nur als weit entfernter und theoretischer Fall behandelt. Nun hat die erste europäische Datenschutzbehörde auf robuste Art von ihren Befugnissen Gebrauch gemacht: Die portugiesische Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) verhängt wegen einer Verletzung von Patientendaten in einem Krankenhaus eine Geldbuße in Höhe von EUR 400.000. Das Krankenhaus will die Entscheidung gerichtlich überprüfen lassen.
Krankenhaus lässt Zugriff von hunderten Personen auf Patientendaten zu
Das betroffene Krankenhaus soll zugelassen haben, dass nicht nur Ärzte Zugriff auf Patientendaten haben. Im Gegenteil soll es für Hunderte von Personen möglich gewesen sein, auf die besonders sensiblen Daten zuzugreifen. Für den Zugriff sei es ausreichend gewesen, dass sich der jeweilige Nutzer mit dem Profil „Techniker″ im System anmeldet. Auch im Übrigen scheint das Krankenhaus mit der Verwaltung von Zugriffsrechten unvorsichtig umgegangen zu sein: Obwohl in dem Krankenhaus nur 296 Ärzte tätig sind, seien insgesamt 985 aktive Benutzer mit dem Profil „Arzt″ registriert gewesen. Nach Aussagen des Krankenhausbetreibers sei diese Diskrepanz auf die Erstellung von temporären Profilen zurückzuführen.
Verstoß gegen wichtige Datenschutzgrundsätze
Nach der DSGVO können Datenschutzverstöße mit einer Geldbuße von bis zu EUR 20 Millionen oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden, je nachdem, welcher der Beträge höher ist. Als Anknüpfungspunkt kommen verschiedene datenschutzrechtliche Pflichten in Betracht.
Im Fall der portugiesischen Geldbuße ist denkbar, dass das Krankenhaus gegen die Pflicht auf Datenminimierung verstoßen hat. Danach muss der Zugriff auf personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. So dürfen Unternehmen ihren Mitarbeitern Daten nur auf sogenannter „need-to-know″ Basis zugänglich machen. Es dürfen also nur solche Mitarbeiter Kenntnis von den Daten erlangen, die diese Daten auch zweckgebunden verarbeiten. Geht es um Patientendaten, dürfen regelmäßig nur die behandelnden Ärzte auf die Daten zugreifen.
Die Entscheidung der portugiesischen Datenschutzbehörde zeigt, dass die Behörden die neuen Pflichten der DSGVO konsequent durchsetzen. Um Geldbußen zu vermeiden, müssen Unternehmen die Grundsätze der Datenverarbeitung nach der DSGVO einhalten und insbesondere ein ausreichendes Sicherheitskonzept vorweisen.